개인정보보호책임자, 어떤 역할을 수행해야 하나?

기업내 개인정보보호책임자의 중요성 부각...전문성과 소양 갖춰야

기업, 개인정보보호책임자의 역할 존중하고 지원 아끼지 말아야

[보안뉴스=한순기 행정안전부 개인정보보호과장] 개인정보보호를 책임지고 있는 개인정보보호책임자의 중요성이 점차 부각되고 있다. 개인정보보호법에서도 사업주, 대표자, 개인정보처리 관련부서의 장, 개인정보보호에 소양이 있는 사람 등으로 개인정보보호책임자의 자격을 지정하고 있다. 개인정보보호책임자가 기업의 개인정보 유출을 예방하기 위한 각종 조치들을 총괄하기 위해 개인정보보호에 대한 전문성과 소양을 갖춘 책임자의 최소한의 기준을 제시한 것이다. 그렇다면 개인정보보호책임자는 무엇을 해야 할까?

지하철을 타고 가다가 앉아있는 사람들을 둘러보면 남녀노소 구분 없이 대부분의 사람들이 스마트폰을 사용하고 있다. 모든 가정에 인터넷이 보급된 인터넷 사회를 지나 언제 어디서 누구나 인터넷을 활용할 수 있는 스마트 시대에 살고 있는 것을 실감할 수 있다.

지난 2월 UN의 전자정부 순위에서 우리나라가 2회 연속 1위를 차지했다는 발표가 있었다. 누구나 인터넷을 사용할 수 있는 환경 속에서 각종 민원서류를 인터넷을 통해 발급받을 수 있을 뿐 아니라 공공시설물 고장 등 각종 민원을 스마트폰을 통해 즉시 신고하고 처리할 수 있는 서비스가 구현된 것을 보면 세계 최고라는 평가를 받았다는 것이 자연스럽게 다가온다.

그러나 정보서비스가 발달하는 만큼 해킹이나 개인정보 유출과 같은 침해에 대한 우려도 함께 증가하고 있다. 정유사, 백화점 등의 대규모 해킹사고 이후 작년에는 금융기관의 개인정보도 유출됐고 최근에는 방송사의 개인정보 유출사고까지 지속적으로 언론을 통해 알려지고 있다.

과거의 해킹이 보안담당자가 책임지고 방어하는 전문적인 영역으로 인식되었다면, 최근의 해킹은 개인정보 유출로 이어지면서 담당자의 부주의와 개인정보의 관리 소홀 등 다양한 원인과 연계되어 전사적인 대책을 요구하는 문제로 확대되고 있다.

더 이상 정보보안 영역만의 일이 아니다

특히, 개인정보 유출로 인한 기업의 피해도 이미지 손실로 인한 매출 감소뿐 아니라 대규모 피해보상 소송으로 인한 금전적인 부담으로 이어지면서 기업의 생존을 위협하는 수준으로 확대되었다.

이 때문에 기업의 개인정보보호를 책임지고 있는 개인정보보호책임자의 중요성이 점차 부각되고 있다. 개인정보보호법에서도 사업주, 대표자, 개인정보처리 관련부서의 장, 개인정보보호에 소양이 있는 사람 등으로 개인정보보호책임자의 자격을 지정하고 있다. 개인정보보호책임자가 기업의 개인정보 유출을 예방하기 위한 각종 조치들을 총괄하기 위해 개인정보보호에 대한 전문성과 소양을 갖춘 책임자의 최소한의 기준을 제시한 것이다.

개인정보보호책임자는 무엇을 해야 하나?

개인정보보호책임자는 개인정보보호법에 명시된 다음과 같은 임무수행을 통해 기관이나 기업의 개인정보처리 전반에 대한 감독과 관리를 책임진다.

1. 개인정보보호 계획의 수립과 시행

갈수록 다양화되고 지능화되는 해킹사고를 막기 위해서는 침해예방을 위한 정책도 보다 체계적으로 수행되어야 한다. 전사적인 개인정보보호 계획을 수립하여 시행하는 것은 체계적인 침해예방을 위한 가장 중요한 업무로 볼 수 있다. 개인정보보호 계획은 개인정보 취급자들의 자격과 권한, 업무처리절차, 보호조치 강화대책, 관리감독 및 교육 등을 포함하는 여러 가지 문서로 수립될 수 있다. 중앙부처에서는 개인정보보호 기본계획과 시행계획을 수립·시행해야 하며, 그 외의 기관이나 기업들도 내부관리계획, 개인정보처리방침, 개인정보취급자에 대한 교육계획 등을 수립·시행해야 한다.

특히, 내부관리계획은 개인정보를 안전하게 관리하고 처리하기 위한 각종 보호조치와 업무처리절차를 이행하기 위한 계획으로 상시근무자 5인 이상의 모든 기업에서 의무적으로 수립·시행해야 한다. 아울러 보유하고 있는 개인정보파일에 대한 처리목적, 항목, 보유기간, 처리방법 등을 정의한 개인정보처리방침도 반드시 수립·공개해야 하는 의무사항이다.

2. 개인정보 처리실태 조사 및 관리감독

개인정보를 이용하는 다양한 서비스들이 계속 개발·확산되고 있기 때문에 기관이나 기업에서 개인정보를 취급하는 부서나 담당자의 수와 역할도 점차 확대되고 있다. 이에 따라 개인정보보호책임자의 책임범위도 고객부서나 정보보호부서 뿐 아니라 전사적인 차원에서 모든 직원들을 관리·감독해야 하는 수준으로 확대됐다.

개인정보 취급자들이 정당한 절차 없이 개인정보를 열람하거나 임의로 개인 PC에 저장하여 다른 목적에 이용하는 것은 중요한 침해행위에 해당되므로 이를 예방하기 위해 개인정보보호책임자가 정기적으로 업무처리 실태를 점검하고 개인 PC에 저장된 자료들도 검사해야 한다. 또한, 개인정보를 삭제하는데 소극적인 기존의 관행을 개선하여 처리목적이 달성된 개인정보를 즉시 삭제하도록 개선하는 것도 개인정보보호책임자가 중점을 두어 관리해야 할 사항이다.

3. 개인정보 침해예방 및 민원처리

개인정보보호책임자는 개인정보가 유출되거나 오남용되지 않도록 내부통제 시스템을 갖추어야 한다. 내부 직원에 의한 개인정보 유출이나 목적외 이용은 개인정보 침해신고센터로 접수되는 대표적인 침해유형으로 이를 방지하기 위해서는 개인정보보호책임자가 취급자별로 권한을 제한하고 열람기록에 대한 정기적인 감사를 통해 불법적인 개인정보 열람을 방지해야 한다. 이외에도 개인정보처리시스템의 보호를 위해 방화벽, 백신, 접근통제 시스템을 구축하고 취급자별 시스템 접근 기록을 6개월 이상 보존하는 등 기술적인 조치도 점검해야 할 사항이다.

개인정보보호책임자에게는 침해예방뿐 아니라 정보주체의 권리를 보장하고 구제하는 책임도 부여되어 있다. 우선 정보주체의 열람·정정·삭제·처리정지 등의 요구를 이행하기 위해 담당자를 지정하고 관련서식 및 업무처리절차를 정립하는 등의 조치를 마련해야 한다. 또한, 개인정보보호법 시행으로 유출사고가 발생했음을 인지하면 2차 피해가 발생하지 않도록 즉시 정보주체에게 메일이나 전화 등으로 고지해야 하며, 1만건 이상의 정보가 유출되었을 때는 행정안전부나 전문기관에 신고도 해야 한다.

이렇게 침해사고가 발생했을 때 의무적으로 조치해야 할 사항들을 법에서 정한 기한 내에 이행하기 위해서는 개인정보보호책임자가 주관하여 침해대응절차를 마련하고 담당자들에 대한 교육을 실시할 필요가 있다.

지금까지 살펴본 개인정보보호책임자의 역할 중에서도 현장에서 특히 중점을 두고 확인해야 할 사항들을 뽑아보면 다음과 같다. 먼저, 조직 내에서 주민등록번호를 수집하여 처리하는 업무들에 대한 분석과 개인정보 수집서식의 검토를 통해 주민등록번호의 이용을 제한하고 개인정보의 수집을 최소한으로 줄여가는 노력을 계속해야 한다. 둘째, CCTV를 통해 촬영되는 영상정보도 개인정보이므로 CCTV의 설치목적을 점검하고 영상정보의 열람·보관에 대한 관리감독도 철저히 해야 한다.

마지막으로 개인정보 처리를 위탁하여 운영하는 과정에서 개인정보 침해가 발생할 경우 판례에 의해 수탁 받은 회사를 위탁한 회사의 개인정보 취급자로 보고 있으므로 위탁회사에 대한 관리감독을 강화해야 한다. 개인정보를 외부업체에 위탁할 때는 계약서에 처리절차와 책임을 명시하고 위탁업체 담당자에 대한 충분한 교육을 실시해야 하며, 위탁사실을 홈페이지 등을 통해 정보주체에게 알리는 것도 누락되지 않도록 주의해야 한다.

충분한 역량과 의지를 갖춘 사람을 개인정보보호책임자로 임명해야

개인정보보호책임자의 역할과 책임이 강화되고 중요해진 만큼 충분한 역량과 자세를 갖춘 사람을 개인정보보호책임자로 임명하는 것도 중요해졌다.

그동안은 개인정보보호책임자가 책임만 있는 형식적인 역할로 인식되어 기업의 임원들 간에 개인정보보호책임자가 되지 않기 위해 서로 미루는 모습을 보이기도 했다. 그러나 개인정보 유출이 발생한 기업들의 예에서 보면 개인정보보호가 기업의 이미지는 물론 경영성과에까지 영향을 미치고 있기 때문에 이제 개인정보보호책임자는 기업의 가장 중요한 역할을 수행하는 자리가 되었다.

이러한 개인정보보호책임자에게 필요한 역량으로 먼저 전사적인 개인정보보호 계획을 수립하여 추진할 수 있는 충분한 지식과 소양을 들 수 있다. 정보주체에 대한 권리를 우선시하는 개인정보보호의 취지와 원칙, 개인정보보호 관련법령의 주요내용, 조직 내의 개인정보 처리업무 현황, 조직의 업무 수행에 필요한 법률지식 등에 대한 소양과 잘못된 부분을 찾아내 개선할 수 있는 역량을 갖추어야 한다.

개인정보보호책임자에게 추가로 필요한 것은 조직의 개인정보보호 수준을 향상시키고자 하는 적극적인 자세와 의지다. 흔히 개인정보보호가 특정 시스템을 도입하거나 서식을 만드는 등의 조치만으로 완성된다고 오해하는 경우가 많다. 그러나 조직 내의 모든 개인정보 취급자들의 업무처리 형태를 분석하고 잘못된 관행을 개선하면서 다양화되고 전문화되는 해킹기술에 대응하여 각종 보호조치를 취하는 것은 여간 어려운 문제가 아니다. 이 때문에 개인정보보호책임자의 적극적인 관리감독과 전반적으로 보호 수준을 높여가겠다는 의지가 있어야만 현장에서 개인정보보호가 정착될 수 있다.

개인정보보호는 조직의 가장 큰 리스크를 관리하는 필수활동

대부분의 공공기관과 기업들이 고객을 가장 중요한 가치로 정의하고 고객만족을 위한 노력을 기울이고 있다. 특히, 고객들이 믿고 맡긴 개인정보를 안전하게 관리하는 것은 기업의 기본 책무이다.

개인정보보호가 제대로 이루어지지 않는다면 고객에 대한 기본 신뢰가 무너지는 것이고 조직 경영의 큰 리스크가 된다. 관리자가 가져야할 기본 책무로 리스크 매니지먼트를 꼽는다. 각각의 업무 프로세스, 비즈니스 서비스 단계별로 조직에서 고객 신뢰를 잃고 경영위기를 초래하는 리스크가 무엇인지 챙기는 노력이 절실하다.

그런 의미에서 개인정보보호는 조직의 가장 큰 리스크를 관리하는 중요한 활동으로 조직 경영의 필수요소라고 할 수 있다. 개인정보보호책임자는 조직에서 가장 필수적인 경영전략을 책임지고 있음을 스스로 인식하여 법에 의해 부여된 역할을 차질 없이 수행하고 조직의 개인정보보호 수준 향상을 위한 적극적인 노력을 기울여야 한다.

개인정보를 처리하는 공공기관과 사업자는 개인정보보호책임자의 역할을 존중하고 전사적인 개인정보보호 활동이 이루어질 수 있도록 지원을 아끼지 않아야 한다. 이와 함께 개인정보보호책임자들이 맡은 바 책임을 다함으로써 개인정보보호 문화의 확산과 개인정보보호법의 조기 정착이 이루어질 수 있을 것으로 기대한다.

[글 _ 한 순 기 행정안전부 개인정보보호과장(cool@korea.kr)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)